Blickpunkt

Unternehmensrisiko Cyber-Attacke
Auswirkungen und Maßnahmen aus der Praxis

Martin Braun

Risiken und Chancen sind für Unternehmer und Inhaber die täglichen Begleiter. Der unternehmerische Erfolg und damit die Zukunft eines Unternehmens hängen davon ab, neue Marktchancen frühzeitig zu erkennen, sowie sich geeignet gegen Risiken zu wappnen. Cyber-Angriffe können im Handumdrehen für jedes Unternehmen existenzbedrohend werden. Doch was bedeutet eine Cyber-Attacke fernab von den Schlagzeilen in Tagesschau, Handelsblatt und Bild für ein Unternehmen und für Geschäftsprozesse, die Kunden und Mitarbeiter?

Ohne praktikables Cyber-Risikomanagement sind Aussagen zum tatsächlichen Unternehmensrisiko unmöglich.

Wer sich über Cyber-Strategien, Standards und Best Practices informieren möchte, wird mit einer nahezu unüberschaubaren Menge an Informationen konfrontiert. Diese reichen von Cyber-Lagebildern und -Analysen über Standards wie ISO/IEC 27001 bis zu Best-Practice-Leitfäden. Die qualitativen Unterschiede sind groß, die „Flughöhe“ ist stark unterschiedlich und der Nutzen gerade für den Mittelstand ist oft fraglich. Zudem fehlt meist die unternehmerische Sicht: „Wie wirkt eine Cyber-Attacke auf mein Unternehmen?“ Und dabei ist nicht gemeint: „… auf die IT meines Unternehmens“. Auch wenn IT hier eine zentrale Rolle spielt, werden dort keine unternehmerischen Entscheidungen gefällt!

„Grau, teurer Freund, ist alle Theorie.“ – Johan Wolfgang von Goethe

Um sich nicht in Theorie zu erschöpfen, werfen wir einen Blick auf zwei konkrete Beispiele. Die Darstellung ist weitestgehend abstrahiert, sodass kein Bezug zu den betroffenen Unternehmen hergestellt werden kann. In beiden Fällen geht es um Ransomware. Kurz erklärt: Eine Schadsoftware gelangt ins Unternehmensnetz und macht dort Daten oder Systeme durch Verschlüsselung unbrauchbar. Eine Lösegeldzahlung in anonymen Bitcoins verspricht die Entschlüsselung der Daten. Die unaufhaltsame Zunahme von Ransomware-Attacken ist leicht zu erklären: Mit minimalen Investitionen und geringem Strafverfolgungsrisiko können Cyber-Kriminelle viel Geld verdienen. Die nötige Software nebst Services steht im Dark Web zum Abruf bereit.

„Die CyberSecurity eines Unternehmens zu verantworten bedeutet, die relevanten Cyber-Bedrohungen sowie deren mögliche Auswirkungen auf die eigene Organisation zu kennen und gemeinsam mit den Business-Verantwortlichen dauerhaft im Griff zu haben.“

Im ersten Beispiel wurde ein Maschinenbauer Opfer einer Ransomware-Attacke. Die Attacke war breit angelegt, also ohne auf dieses Unternehmen abzuzielen. Das Argument „Wir sind ja kein relevantes Ziel“ läuft damit nachweislich ins Leere. Trotz klassischer IT-Security-Maßnahmen (Antivirus, Firewall, Backup etc.) hat sich die Situation innerhalb einer knappen Stunde von „Normalbetrieb“ zu „komplettem Stillstand mit Handlungsunfähigkeit“ gewandelt. Die gesamte Serverlandschaft wurde verschlüsselt und damit unbenutzbar. Das bedeutete den Ausfall aller Standorte. Wesentliche und kritische Unternehmensprozesse wie Logistik und Produktion waren ebenso betroffen: Teilweise aufgrund direkter Verschlüsselung, teilweise wegen Notabschaltung der IT-Systeme in der Hoffnung, der Verschlüsselung zu entgehen.

Stillstand in der Logistik durch Worst Case „IT-Ausfall“ – bei einem Cyberangriff jederzeit denkbar.Champiofoto / Shutterstock.com
Stillstand in der Logistik durch Worst Case „IT-Ausfall“ – bei einem Cyberangriff jederzeit denkbar.

„Die Dinge laufen nun einmal nicht so, wie wir uns das vorstellen.“ – Dalai Lama

Im weiteren Verlauf der Krise haben sich einige Aspekte als besonders kritisch herausgestellt: Unklare Integrität des Backups, technische Wiederanlaufprobleme existenzieller Prozesse, Personal- und Expertenmangel, unpassende Support-SLAs und Schatten-IT. Der Cyber-Angriff führte insbesondere aufgrund der oben aufgeführten Probleme zu großen wirtschaftlichen Schäden. Die rudimentären Notfallpläne und Business-Continuity-Szenarien erwiesen sich als wenig praxisrelevant und völlig wertlos. Neben der IT-Abteilung wurde gerade die Unternehmensleitung ständig vor schwer zu bewältigenden Herausforderungen gestellt:

  • Priorisierung: Welche Geschäftsprozesse haben beim Wiederanlauf Priorität?
  • Information: Behörden, Lieferanten, Kunden, Presse: Wann muss, wann sollte informiert werden?
  • Entscheidungsbasis: Wie sollen unternehmerische Entscheidungen bei unklarer Lage gefällt werden?

Auch im zweiten Beispiel geht es um ein mittelständisches Unternehmen, das von einer Ransomware-Attacke getroffen wurde – allerdings unter völlig anderen Rahmenbedingungen. Das Unternehmen war nach ISO/IEC 27001 zertifiziert, eine sehr gute Basis für eine valide Cyber-Defense-Strategie. Dass es bei Cyber-Sicherheit keinen 100-prozentigen Schutz geben kann, ist unbestritten, wie der kürzlich der Angriff auf den Cyber-Security-Spezialisten Fireeye unter Beweis stellte. Dennoch versprechen Zertifizierungen ein höheres Sicherheitsniveau. Die Praxis zeigte jedoch: Zertifizierungen können und sollten die obengenannten Effekte mit sich bringen. Ein Selbstläufer ist das aber in keinem Fall.

„Je planmäßiger die Menschen vorgehen, desto wirksamer vermag sie der Zufall treffen.“ – Friedrich Dürrenmatt

Im Gegensatz zum ersten Beispiel handelte es sich hier um einen gezielten, individuell vorbereiteten Angriff auf ein einzelnes Unternehmen. Auch die Ransomware war individuell zusammengestellt. Das ist heute weder mit großen Entwicklungsaufwänden noch Kosten verbunden und damit inzwischen durchaus verbreitet. Innerhalb kürzester Zeit war auch hier die komplette Serverlandschaft verschlüsselt. Fehlende Notfallpläne führten dazu, dass viele IT-Systeme hart vom Strom getrennt wurden, in der Hoffnung, eine Verschlüsselung zu verhindern. In der Realität hat das vor allem bei den Storage-Systemen zu schwer auflösbaren Inkonsistenzen geführt. Forensische Analysen zeigten, dass der Angriff Monate vor der ersten Verschlüsselung mit einer sehr „leisen“ Phase begonnen hatte: Die Angreifer hatten sich im Netzwerk ausgebreitet und die Backups zerstört. Nach der Verschlüsselungsphase des Angriffs waren praktisch alle IT-Systeme unbrauchbar: verschlüsselt oder inkonsistent. Der Business-Impact einer nicht verfügbaren IT-Infrastruktur war für dieses Unternehmen verheerend: Es drohte ein Bankrott, sollte die Infrastruktur nicht innerhalb von fünf Tagen wieder verfügbar sein.

Die ISO/IEC-27001-Zertifizierung und die dort abgeleiteten Dokumente, Maßnahmen und Prozesse waren in diesem Szenario bestenfalls irrelevant. Das zerstörte Backup machte einen Restore unmöglich. Das Unternehmen sah sich daher zur Bezahlung des Lösegelds gezwungen. Zwar funktionierte die Entschlüsselung, doch der Weg zurück zu einer funktionierenden IT-Infrastruktur und damit zur unternehmerischen Handlungsfähigkeit war trotzdem sehr steinig:

  • fehlende Spezialisten und IT-Experten, um die Systeme wieder geordnet in Betrieb nehmen zu können
  • fehlender Herstellersupport, da SLAs nicht zu den Reaktions- und Leistungsanforderungen in einer Krise passten
  • mangelhafte Dokumentation der IT-Umgebung und der Zusammenhänge zu den Geschäftsprozessen

Trotz der ISO/IEC-27001-Zertifizierung hatte die Unternehmensleitung keine Werkzeuge an der Hand, um die Situation sinnvoll einzuschätzen, die richtigen unternehmerischen Maßnahmen zu ergreifen und diese in der richtigen Priorisierung voranzutreiben.

Perspektivwechsel wichtig

Die Frage „Wie sind Sie im Bereich IT-Sicherheit aufgestellt?“ hätten beide Unternehmen wahrscheinlich vor den Cyberattacken mit „gut“ oder „angemessen“ beantwortet und vielleicht noch hinzugefügt, dass man hier ganz auf den langjährigen IT-Partner und dessen Expertise vertraue. Das ist eine durchaus übliche Antwort und viele Geschäftsführer und Inhaber sind tatsächlich dieser Meinung. Doch auf welche Fakten stützt sich diese Haltung? Das Fazit aus (nicht nur) diesen beiden Beispielen liegt auf der Hand: Die Unternehmen waren nicht in der Lage oder nicht willens, die tatsächlichen Unternehmensrisiken aus Cybera-Angriffen wahrzunehmen. Als Konsequenz daraus waren sie nicht optimal vorbereitet (Prävention) und konnten Angriffe nicht erkennen und nachvollziehen (Detektion) und im Ernstfall nicht geeignet handeln (Reaktion).

Der wesentliche Schritt ist ein Perspektivenwechsel: IT kann keine Geschäftsrisiken einschätzen und unternehmerische Konsequenzen ziehen. Diese Verantwortung verbleibt beim Management. Bei diesem Perspektivenwechsel ist Erfahrung ein entscheidender Faktor: Branchenerfahrung, Erfahrung mit den typischen Herausforderungen mittelständischer Unternehmen und auch Erfahrung mit Cyberattacken. Ohne Bezug zur Praxis läuft man Gefahr, dass die Maßnahmen und Strategien sich im Ernstfall als wirkungslos erweisen, denn „grau, teurer Freund, ist alle Theorie“.

Kurz vorgestellt

Die Cybersecurity Manufaktur unterstützt Unternehmen und Organisationen bei der effizienten und belastbaren Gestaltung von Prozessen, Technologien und organisatorischen Strukturen mit dem Zweck, Risiken und Auswirkungen von Cyber-Angriffen zu minimieren. Gerade auch im Mittelstand können Cyber-Attacken zu großen Schäden führen. Innovation, Präzision und Qualität sind Werte, diese Unternehmen ausmachen und deren Fortbestand bedeuten. Diese Werte brauchen besonderen Schutz gegen Cyber-Attacken. Die Experten unterstützen Unternehmen dabei – auf Augenhöhe und mit über 20-jähriger Praxis und Erfahrung.

Auf Basis des Manufaktur-Gedankens bietet das Unternehmen maßgeschneiderte Beratung, hochwertige Lösungen und passgenaue Services für die unterschiedlichen Anforderungen der Kunden. „Wir gehen dabei ganz neue Wege bei der Neuausrichtung der Cyber-Sicherheit – besonders in Hinblick auf die Digitalisierungsstrategie des jeweiligen Unternehmens“, sagt Martin Braun.

www.cybersecurity-manufaktur.com